Microsoft Dataverse ja mallipohjaisten sovellusten aktiviteetin kirjaaminen
Tietojen suojaaminen, tietosuojan säilyttäminen ja tietosuojasäädösten noudattaminen ovat liiketoiminnan kannalta keskeisiä prioriteetteja. Kaikkien tietojen käsittelytoimintojen seuraaminen on ehdottoman välttämätöntä, jotta mahdolliset suojausrikkomukset voidaan analysoida. Näitä aktiviteettien lokiin kirjaamisen tietoja voi käyttää tietosuojan vaikutusten arvioinnin (DPIA) suorittamiseen, joka ottaa huomioon Officen, Power Appsin, Power Automaten ja asiakkaan aktivointisovellusten (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing ja Dynamics 365 Project Service Automation) käytön.
Tässä ohjeaiheessa käsitellään, miten Power Apps, Power Automate ja asiakkaan osallistamissovellukset määritetään seuraamaan monenlaisia tietojen käsittelytoimintoja ja miten Microsoft Purview -yhteensopivuusportaalin avulla tarkastellaan toimintoraporttien tietoja.
Edellytykset
- Vähintään yksi käyttäjä on määrittänyt Microsoft/Office 365 E1 -käyttöoikeuden tai vahvemman käyttöoikeuden.
- Käytettävissä tuotanto- mutta ei eristysympäristöissä.
Seurattavat tapahtumat
Lokiin kirjaaminen tehdään SDK-kerroksessa, joten yksi toiminto voi käynnistää useita lokiin kirjattavia tapahtumia. Seuraavassa on esimerkki seurattavista käyttäjätapahtumista. Järjestelmänvalvojatapahtumia ei tällä hetkellä kirjata lokiin.
Käyttäjään ja tukeen liittyvät tapahtumat
| Tapahtuma | Kuvaus |
|---|---|
| Luonti, luku, päivitys, poisto (CRUD) | Kaikkien CRUD-aktiviteettien kirjaaminen lokiin on välttämätöntä, jota ongelman vaikutus ymmärrettäisiin. Se tarvitaan myös tietosuojan vaikutuksenarviointia varten. |
| Useiden tietueiden näkymä | Dynamicsin käyttäjät voivat tarkastella tietoja joukkona, esimerkiksi ruudukkonäkyminä tai erikoishakuna. Kriittiset asiakassisältötiedot sisältyvät näihin näkymiin. |
| Vie Exceliin | Tietojen vieminen Exceliin siirtää tiedot suojatun ympäristön ulkopuolelle, jolloin ne altistuvat uhille. |
| SDK-kutsut ympäristösovellusten tai mukautettujen sovellusten avulla | Ydinympäristössä tai ympäristösovelluksissa tehdyt toiminnot jotka kutsuvat SDK:n suorittamaan toiminnon, on kirjattava lokiin. |
| Kaikki tuetut CRUD-aktiviteetit | Microsoft tukee asiakasympäristössä tehtäviä suunnittelutoimintoja. |
| Taustajärjestelmän komennot | Microsoft tukee asiakasvuokraajassa ja -ympäristössä tehtäviä suunnittelutoimintoja. |
| Katsottu raportti | Kirjataan lokiin, kun raporttia tarkastellaan Raportissa voi näkyä tärkeitä asiakasta koskevia tietoja. |
| Raportin katseluohjelman vienti | Raportin vieminen toiseen muotoon siirtää tiedot suojatun ympäristön ulkopuolelle, jolloin ne altistuvat uhille. |
| Raporttien katseluohjelman hahmontama kuva | Niiden multimediaresurssien kirjaaminen lokiin, jotka näytetään avatussa raportissa. Niissä voi olla tärkeitä tietoja. |
Perusrakenne
Rakenteet määrittävät ne kentät, jotka lähetetään Microsoft Purview -yhteensopivuusportaaliin. Jotkin kentät ovat yhteisiä kaikille sovelluksille, jotka lähettävät seurantatietoja Microsoft Purviewiin, kun taas toiset koskevat vain asiakkaan osallistamissovelluksia. Yleiset kentät ovat perusrakenteessa.
| Kentän nimi | Laji | Pakollinen | Kuvaus |
|---|---|---|---|
| Päivämäärä | Edm.Date | Ei | UTC-muotoinen päivämäärä ja kellonaika, jolloin loki luotiin |
| IP-osoite | Edm.String | Ei | Käyttäjän tai yrityksen yhdyskäytävän IP-osoite |
| Tunniste | Edm.Guid | Ei | Jokaisen lokiin kirjatun rivin yksilöllinen GUID-tunnus |
| Tuloksen tila | Edm.String | Ei | Lokiin kirjatun rivin tila. Useimmissa tapauksissa se on onnistunut |
| Organisaation tunnus | Edm.Guid | Kyllä | Sen organisaation yksilöllinen tunnus, josta loki luotiin. Tämä tunnus sijaitsee Dynamics-kehittäjän resursseissa. |
| ClientIP | Edm.String | Ei | Käyttäjän tai yrityksen yhdyskäytävän IP-osoite |
| CorrelationId | Edm.Guid | Ei | Yksilöllinen arvo, jolla liittyvät rivit liitetään (esimerkiksi jos suuri rivi on jaettu) |
| CreationTime | Edm.Date | Ei | UTC-muotoinen päivämäärä ja kellonaika, jolloin loki luotiin |
| Toiminto | Edm.Date | Ei | SDK:ssa kutsutun sanoman nimi |
| UserKey | Edm.String | Ei | Käyttäjän yksilöllinen tunnus Microsoft Entra ID:ssä. Toiselta nimeltään käyttäjän PUID-tunnus. |
| UserType | Self.UserType | Ei | Microsoft 365:n seurantatyyppi (normaali, järjestelmä) |
| User | Edm.String | Ei | Käyttäjän ensisijainen sähköpostiosoite |
Asiakkaan aktivointisovellusten rakenne
Asiakkaan aktivointisovellusten rakenne sisältää asiakkaan aktivointisovellusten ja kumppaniryhmille ominaiset kentät.
| Kentän nimi | Laji | Pakollinen | Kuvaus |
|---|---|---|---|
| Käyttäjätunnus | Edm.String | Ei | Organisaation käyttäjän GUID-tunnuksen yksilöllinen tunnus |
| Crm-organisaation yksilöllinen nimi | Edm.String | Ei | Organisaation yksilöivä nimi |
| Esiintymän URL-osoite | Edm.String | Ei | URL-osoite esiintymään |
| Kohteen URL-osoite | Edm.String | Ei | URL-osoite lokin lähettävään tietueeseen |
| Nimikkeen tyyppi | Edm.String | Ei | Entiteetin nimi |
| Viesti | Edm.String | Ei | SDK:ssa kutsutun sanoman nimi |
| Käyttäjän agentti | Edm.String | Ei | Organisaation käyttäjän GUID-tunnuksen yksilöllinen tunnus |
| EntityId | Edm.Guid | Ei | Entiteetin yksilöivä tunnus |
| EntityName | Edm.String | Ei | Organisaatiossa käytetyn entiteetin nimi |
| Kentät | Edm.String | Ei | Luotuja tai päivitettyjä arvoja vastaava avain–arvo-parin JSON |
| Tunniste | Edm.String | Ei | Asiakkaan aktivointisovellusten entiteetin nimi |
| Query | Edm.String | No | Suodatinkyselyparametrit, joita käytetään suoritettaessa FetchXML |
| QueryResults | Edm.String | No | Nouda- ja Nouda useita -SDK-sanomakutsun palauttama yksi yksilöllinen tietue tai useita yksilöllisiä tietueita. |
| ServiceContextId | Edm.Guid | Ei | Palvelukontekstiin liitetty yksilöllinen tunnus |
| ServiceContextIdType | Edm.String | Ei | Kontekstin käyttöä määrittävä sovelluksen määrittämä tunnus |
| ServiceName | Edm.String | Ei | Lokin luovan palvelun nimi |
| SystemUserId | Edm.Guid | Ei | Organisaation käyttäjän GUID-tunnuksen yksilöllinen tunnus |
| UserAgent | Edm.Guid | Ei | Pyynnön suorittamiseen käytetty selain |
| Käyttäjätunnus | Edm.Guid | Ei | Tähän aktiviteettiin liitetyn Dynamics-järjestelmäkäyttäjän yksilöllinen tunnus |
| UserUpn | Edm.String | Ei | Tähän aktiviteettiin liitetty täydellinen käyttäjätunnus |
Seurannan käyttöönotto
Valitse Asetukset>Hallinta>Järjestelmäasetukset>Seuranta-välilehti.
- Voit myös valita Power Apps -kotisivultaAsetukset (rataskuvake)>Lisäasetukset>Asetukset>Seuranta>Yleiset seuranta-asetukset.
Ota seuraavat valintaruudut käyttöön Seurannan asetukset -kohdassa:
- Aloita seuranta
- Valvo käyttäjien käyttöoikeuksia (Huomautus: sieppaa vain käyttäjän kirjautumisen)
- Aloita lukuseuranta (Huomautus: tallentaa useimmat käyttäjän toiminnot/tapahtumat)
Ota Käytä seurantaa seuraavissa alueissa -kohdassa käyttöön niiden alueiden valintaruudut, joita haluat seurata. Valitse sitten OK.
Jos haluat määrittää taulukon ja kenttätason valvonnan, valitse Asetukset>Mukautukset>Mukauta järjestelmää.
- Voit myös valita Järjestelmäasetukset-sivulla (yllä) Entiteettien ja kenttien seuranta-asetukset.
- Voit myös valita Power Apps -kotisivultaAsetukset (rataskuvake)>Lisäasetukset>Asetukset>Mukautukset>Mukauta järjestelmää.
Laajenna Osat-kohdassa Entiteetit ja valitse seurattava entiteetti, kuten Tili.
Selaa alaspäin ja ota Seuranta käyttöön Tietopalvelut-kohdassa.
Ota seuraavat valintaruudut käyttöön Seuranta-kohdassa:
- Yhden tietueen seuranta. Tietueen kirjaaminen lokiin avattaessa.
- Useiden tietueiden seuranta. Kaikkie avatulla sivulla näkyvien tietueiden kirjaaminen lokiin.
Valitse Tallenna.
Julkaise mukautus valitsemalla Julkaise.
Toista vaiheet 5–9 muiden seurattavien entiteettien osalta.
Ota valvontaloki käyttöön Microsoft Purview'ssa. Katso Seurantalokin haun ottaminen käyttöön tai poistaminen käytöstä.
Voit tarkastella seurantatietoja raporttien avulla Microsoft Purview -yhteensopivuusportaalissa
Kun Microsoft Purview -yhteensopivuusportaalin seurantalokihaku on otettu käyttöön, organisaation käyttäjä- ja järjestelmänvalvoja-aktiviteetti kirjataan valvontalokiin, jossa sitä säilytetään 90 vuorokautta. Organisaatio ei kuitenkaan ehkä halua kirjata ja säilyttää seurantalokitietoja. Seurantatietoja voidaan vaihtoehtoisesti käyttää ulkopuolisella SIEM (suojaustietojen ja tapahtumien hallinta) -sovelluksella. Siinä tapauksessa yleinen järjestelmänvalvoja voi poistaa seurantalokihaun käytöstä Microsoft Purview'ssa. Lisätietoja on kohdassa Ratkaisujen valvonta Microsoft Purview'ssa.
Voit hakea tietueita Microsoft Purview -yhteensopivuusportaalissa valitsemalla tietuetyypiksiCRM-arvon ja aktiviteeteiksiKaikki Dynamics 365 -aktiviteetit -arvon.
Raporttien luonti
Voit luoda omia raportteja seurantatietojen tarkastelua varten. Katso Seurantalokin haku Purview-yhteensopivuusportaalissa.
Lokiin kirjattavat tiedot
Luettelo toimien lokiin kirjattavista toiminnoista on Microsoft.Crm.Sdk.Messages-nimitilassa.
Kaikki muut paitsi seuraavat SDK-sanomat kirjataan:
- WhoAmI
- RetrieveFilteredForms
- TriggerServiceEndpointCheck
- QueryExpressionToFetchXml
- FetchXmlToQueryExpression
- FireNotificationEvent
- RetrieveMetadataChanges
- RetrieveEntityChanges
- RetrieveProvisionedLanguagePackVersion
- RetrieveInstalledLanguagePackVersion
- RetrieveProvisionedLanguages
- RetrieveAvailableLanguages
- RetrieveDeprovisionedLanguages
- RetrieveInstalledLanguagePacks
- GetAllTimeZonesWithDisplayName
- GetTimeZoneCodeByLocalizedName
- IsReportingDataConnectorInstalled
- LocalTimeFromUtcTime
- IsBackOfficeInstalled
- FormatAddress
- IsSupportUserRole
- IsComponentCustomizable
- ConfigureReportingDataConnector
- CheckClientCompatibility
- RetrieveAttribute
Read- ja readmultiple-luokittelu
Luokittelu tehdään etuliitteen avulla.
| Jos pyynnön alussa on | Sen luokittelu on |
|---|---|
| RetrieveMultiple | ReadMultiple |
| ExportToExcel | ReadMultiple |
| RollUp | ReadMultiple |
| RetrieveEntitiesForAggregateQuery | ReadMultiple |
| RetrieveRecordWall | ReadMultiple |
| RetrievePersonalWall | ReadMultiple |
| ExecuteFetch | ReadMultiple |
| Nouda | Lue |
| Hae | Lue |
| Hanki Yammer | Lue |
| Vie | Lue |
Luotuja lokiesimerkkejä
Seuraavat ovat esimerkkejä toimien lokiin kirjaamisella luoduista lokeista.
Esimerkki 1 – Lokit luodaan, kun käyttäjä lukee tilitietueen
| Rakenteen nimi | Arvo |
|---|---|
| Tunnus | 50e01c88-2e43-4005-8be8-9ceb172e2e90 |
| UserKey | 10033XXXA49AXXXX |
| ClientIP | 131.107.XXX.XX |
| Toiminto | Nouda |
| Date | 2.3.2018 23:25:56 |
| EntityId | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
| EntityName | Asiakas |
| Kysely | Ei käytettävissä |
| QueryResults | Ei käytettävissä |
| ItemURL | https://orgname.onmicrosoft.com/main.aspx?etn=account&pagetype=entityrecord&id=00aa00aa-bb11-cc22-dd33-44ee44ee44ee |
Esimerkki 2 – Lokit luodaan, kun käyttäjä näkee asiakastietueet ruudukossa (viennit Microsoft Excel -lokeihin ovat tällaisia)
| Rakenteen nimi | Arvo |
|---|---|
| Tunnus | ef83f463-b92f-455e-97a6-2060a47efe33 |
| UserKey | 10033XXXA49AXXXX |
| ClientIP | 131.107.XXX.XX |
| Toiminto | RetrieveMultiple |
| Päivämäärä | 2.3.2018 23:25:56 |
| EntityId | – |
| EntityName | Account |
| Query | <filter type="and"><condition column="ownerid" operator="eq-userid" /><condition column="statecode" operator="eq" value="0" /></filter> |
| QueryResults | 00aa00aa-bb11-cc22-dd33-44ee44ee44ee, dc136b61-6c1e-e811-a952-000d3a732d76 |
| ItemURL | – |
Esimerkki 3 – Viestiluettelo kirjataan lokiin, kun käyttäjä muuntaa liidin mahdollisuudeksi
| HENKILÖLLISYYSTODISTUS | Entiteetin tunnus | Entiteetin nimi | Operaatio |
|---|---|---|---|
| 53c98033-cca4-4420-97e4-4c1b4f81e062 | 23ad069e-4d22-e811-a953-000d3a732d76 | Yhteyshenkilö | Luo |
| 5aca837c-a1f5-4801-b770-5c66183a58aa | 25ad069e-4d22-e811-a953-000d3a732d76 | Mahdollisuus | Luo |
| c9585748-fdbf-4ff7-970c-bb37f6aa2c36 | 25ad069e-4d22-e811-a953-000d3a732d76 | Mahdollisuus | Update |
| a0469f30-078b-419d-be61-b04c9a34121f | 1cad069e-4d22-e811-a953-000d3a732d76 | Lead | Update |
| 0975bceb-07c7-4dc2-b621-5a7b245c36a4 | 1cad069e-4d22-e811-a953-000d3a732d76 | Lead | Update |
Muita huomioon otettavia seikkoja
Kun Microsoft Purview -yhteensopivuusportaalin seurantalokihaku on otettu käyttöön, organisaation käyttäjät ja aktiviteetit kirjataan valvontalokiin, jossa niitä säilytetään 90 vuorokautta. Organisaatio ei kuitenkaan ehkä halua kirjata ja säilyttää seurantalokitietoja. Seurantatietoja voidaan vaihtoehtoisesti käyttää ulkopuolisella SIEM (suojaustietojen ja tapahtumien hallinta) -sovelluksella. Siinä tapauksessa yleinen järjestelmänvalvoja voi poistaa seurantalokihaun käytöstä Microsoft 365:ssä.
Tunnetut ongelmat
- Officen raja kullekin seurantatietueelle on 3 kt. Tämä vuoksi yksittäinen asiakkaan aktivointisovellusten tietue on joskus jaettava useaan tietueeseen Officessa. CorrelationId-kentän avulla voidaan noutaa annetun lähdetietueen jaettujen tietueiden joukko. RetrieveMultiple ja ExportToExcel ovat toimintoja, joissa jakamistarve on todennäköistä.
- Joissakin toiminnoissa kaikkien liittyvien tietojen noutamiseen tarvitaan lisäkäsittelyä. Esimerkiksi RetrieveMultiple ja ExportToExcel käsitellään purkamaan noudettujen tai vietyjen tietueiden luettelo. Kaikkia liittyviä toimintoja ei kuitenkaan ole vielä käsitelty. Esimerkiksi ExportToWord kirjataan tällä hetkellä lokiin yhtenä toimintoja ilman lisätietoja siitä, mitä on viety.
- Tulevissa versioissa niiden toimintojen lokiin kirjaaminen poistetaan käytöstä, joista lokien tarkastelun perusteella ei ole hyötyä. Jotkin toiminnot ovat esimerkiksi seurausta automatisoiduta järjestelmäaktiviteetista eikä käyttäjän aktiviteetista.
- Joissakin tietue-esiintymissä EntityName-arvon merkintänä voi olla Tuntematon. Nämä tietueet eivät liity mihinkään tiettyyn entiteettiin liittyvään toimintaan, ja ne tulevat tyhjinä CRM:stä. Niiden kaikkien entiteettitunnus on 0000000-0000-0000-0000-000000000000.
Katso myös
Seurannan hallinta Dataverse
Hae valvontalokista yhteensopivuuskeskuksessa
Käyttäjäaktiviteettien seurantalokin haku käyttäen seuraavaa: Office 365:n hallinnan ohjelmointirajapintojen yleiskatsaus